Pour la propagation de NotPetya (ou ExPetr), un nom revient souvent : M.E.Doc. Il a notamment été cité dans les analyses de Microsoft, Kaspersky Lab, ESET ou encore l'équipe d'experts en cybersécurité Talos de Cisco.
C'est par le biais d'une mise à jour de ce logiciel de comptabilité que le malware aurait été en premier diffusé. À l'origine de ce logiciel largement utilisé en Ukraine, la petite société ukrainienne Intellect Service qui serait alors le patient zéro de la cyberépidémie.
Les serveurs de Intellect Service ont été saisis par la police ukrainienne. Interrogé par l'Associated Press (AP), le responsable de la cyberpolice ukrainienne laisse entendre que Intellect Service avait ignoré à plusieurs reprises - avant l'attaque - des avertissements sur la nécessité d'améliorer la sécurité de son infrastructure des technologies de l'information.
Висновки щодо розповсюдження вірусу Petya (Diskcoder.C) - це прикриття наймасштабнішої кібератаки в історії України. https://t.co/UVWVPsMgPL pic.twitter.com/3xIChLGNQ6
— Cyberpolice Ukraine (@CyberpoliceUA) 4 juillet 2017
L'AP écrit que cette société a déjà fourni diverses explications. Après avoir évoqué un piratage de ses serveurs, elle a pointé du doigt des allégations " clairement erronées ", puis a indiqué sa coopération avec les autorités.
En début de semaine, Reuters a interrogé Olesya Linnik et son père Sergei qui ont développé M.E.Doc et fondé Intellect Service. Pour eux, il n'y a aucune preuve de l'utilisation de leur logiciel (à leur insu) pour la propagation de NotPetya.
Rappelons que pour le Service de sécurité d'Ukraine, la cyberattaque mondiale porte la marque des services spéciaux russes.